Zaloguj się Utwórz konto
Prawo

Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczej

  • ALEO.com
  • Blog
  • Prawo
  • Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczej

Każdy przedsiębiorca, który dysponuje danymi swoich klientów i kontrahentów, oraz każdy pracodawca, który przechowuje akta pracowników, musi zadbać o ochronę tych informacji przed dostępem do nich osób nieupoważnionych, atakże ich wyciekiem, znieszczeniem lub niewłaściwym przetwarzaniem. Co to oznacza w praktyce? Wyjaśniamy w najnowszym artykule.

Z artykułu dowiesz się między innymi:
✔ czym jest RODO;
✔ na co w kontekście RODO zwrócić uwagę przy podpisywaniu umów z pracownikami;
✔ jakie dokumenty musi przygotować przedsiębiorca w kontekście RODO.

RODO obowiązuje wszystkich przedsiębiorców prowadzących swoją działalność gospodarczą na terenie Unii Europejskiej. Nie ma przy tym znaczenia, czy jest to jednoosobowa działalność gospodarcza czy firma zatrudniająca wiele osób.

Każdy przedsiębiorca jest zobligowany do przystosowania swojego przedsiębiorstwa do nowych wymogów prawnych. Aby określić stopień, w jakim odcisną one piętno na firmie, musi najpierw przeprowadzić analizę i ocenę ryzyka przetwarzania i pozyskiwania danych osobowych.

Dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej.

Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe.

Dane osobowe, które nie pozwalają na identyfikację lub zostały zaszyfrowane bądź poddane pseudonimizacja, ale które mogą prowadzić do ponownej identyfikacji osoby fizycznej, pozostają danymi osobowymi objętymi zakresem RODO.

Za dane osobowe nie uważa się danych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Aby dane były naprawdę anonimowe, anonimizacja musi być nieodwracalna.

Czym różni się pseudonimizacja od anonimizacji? Różnice są znaczące i dotyczą odwracalności procesu oraz celu jego wykonywania. Anonimizacja, w przeciwieństwie do pseudonimizaji, jest nieodwracalna. Dokonuje się jej, aby trwale usunąć wszystkie informacje pozwalające na identyfikację konkretnej osoby fizycznej. Pseudonimizacja ma za to na celu zwiększenie bezpieczeństwa przetwarzania danych osobowych.

RODO zapewnia ochronę danych osobowych niezależnie od rodzaju technologii, której użyto do przetwarzania danych. Ma zastosowanie zarówno do ręcznego, jak również do zautomatyzowanego przetwarzania. Nie ma także znaczenia to, w jaki sposób dane te są przechowywane (w systemie IT, nadzoru wideo czy formie papierowej).

Do danych osobowych zaliczymy takie dane jak:
• imię i nazwisko;
• PESEL;
• NIP;
• adres zamieszkania;
• adres e-mail, taki jak [email protected] (jeśli domena firmowa nie zawiera danych osobowych przedsiębiorcy, na przykład jego imienia i nazwiska);
• numer dowodu tożsamości;
• dane o lokalizacji, na przykład ustawienia lokalizacji w telefonie komórkowym;
• adres IP;
• identyfikator plików cookie;
• identyfikator reklamowy w telefonie komórkowym;
• dane przechowywane przez szpital lub lekarza, które mogą jednoznacznie wskazywać tożsamość danej osoby.

Do danych osobowych nie zaliczymy takich danych jak:
• numer KRS;
• adres e-mail, taki jak [email protected];
• dane anonimowe.

Czym jest RODO?

RODO jest unijnym aktem prawnym, zestawem przepisów, które dostarczają informacji przedsiębiorcom i konsumentom odnośnie tego, do czego mają prawo w zakresie prywatnych informacji i w jaki sposób należy się z nimi obchodzić.

W unijnym systemie prawnym funkcjonuje jako:
Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego takich danych oraz uchylenia dyrektywy 95/46/we.

Mimo wymienionego wyżej “udogodnienia”, RODO wymienia szereg obowiązków, których przestrzeganie jest obowiązkowe. Najważniejsze z nich to:
• obowiązek powołania Inspektora Danych Osobowych w firmach, w których przetwarzanie danych stanowi podstawę działalności;
• obowiązek poinformowania w ciągu 72 godzin o wycieku danych osoby, której on dotyczy, a także o odkrytym naruszeniu, jeśli zdarzenie to mogło skutkować trafieniem prywatnych informacji w niepowołane ręce;
• obowiązek prowadzenia rejestru, obejmującego rodzaj przetwarzanych danych, cel i sposób ich przetwarzania oraz informację o osobie odpowiedzialnej za przetwarzanie danych.

Rozporządzenie daje dodatkowo osobom fizycznym realne uprawnienia do kontrolowania swoich danych osobowych, z których najważniejsze to:
prawo do dostępu do danych osobowych, polegające na tym, że każdy konsument ma prawo do udzielenie przez przedsiębiorcę szczegółowych informacji dotyczących posiadanych danych oraz sposobu ich przetwarzania;
prawo do przenoszenia danych, zgodnie z którym każdym konsument może zażądać przeniesienia swoich danych osobowych do innego podmiotu przetwarzającego;
prawo do poprawienia danych osobowych, oznaczające, że każdy ma prawo do wprowadzenia korekt do zebranych przez przedsiębiorstwo danych, które go dotyczą;
prawo do bycia zapomnianym, czyli najdalej idące uprawnienie, które polega na całkowitym usunięciu zebranych informacji o konkretnej osobie.

RODO a jednoosobowa działalność gospodarcza

Rozporządzenie o ochronie danych osobowych dotyczy każdego przedsiębiorcy, który prowadzi jednoosobową działalność gospodarczą, bez względu na to, czym się zajmuje i czy zatrudnia pracowników.

Przepisy RODO wymuszają na przedsiębiorcy przeprowadzenie analizy i oceny ryzyka przetwarzania i pozyskiwania danych osobowych. Taki audyt pozwoli określić:
• jakie dane osobowe przetwarza;
• w jakich celach je przetwarza;
• podstawę prawną, w oparciu o którą te dane przetwarza;
• rolę, w jakiej występuje;
• ryzyko przetwarzania danych i poziom zabezpieczeń niezbędny dla prawidłowej ochrony danych.

Gdy przedsiębiorca określi swoją rolę, będzie wiedział jaki typ umów ma podpisywać z dostawcami różnych usług, na przykład z firmą kurierską:
• umowę przekazania – pomiędzy administratorami danych;
• umowę powierzenia – pomiędzy administratorem a podmiotem przetwarzającym dane;
• umowę podpowierzenia – pomiędzy podmiotami przetwarzającymi dane.

RODO oddziałuje na przedsiębiorców prowadzących jednoosobowe firmy w dwójnasób. Z jednej strony nakłada na nich obowiązek ochrony danych osobowych kontrahentów, a z drugiej – roztacza swego rodzaju parasol ochronny na równi z konsumentami.

Co do zasady, w firmie jednoosobowej (oraz mikroprzedsiębiorstwach to przedsiębiorca staje się administratorem danych. Musi zatem zastanowić się, w jakich obszarach działalności przedsiębiorstwa przetwarzane są dane osobowe osób fizycznych. Następnie musi znaleźć rozwiązanie, dzięki któremu dane te będą wykorzystywane tak, aby były chronione w jak największym stopniu.

Na pewno będzie to miało miejsce przy wystawianiu faktur lub rachunków dla osób fizycznych i osób prowadzących działalność gospodarczą.

Do takich sytuacji z pewnością zaliczymy także korzystanie z takich narzędzi jak newsletter czy masowa korespondencja. Pod przepisy RODO podlega również korespondencja, w której korzysta się wyłącznie z adresów mailowych, ale takich, które w jakikolwiek sposób można powiązać z konkretnymi osobami. Nie ma też znaczenia, czy są to adresy klientów, kontrahentów, pracowników czy osób współpracujących z przedsiębiorcą, na przykład księgowego.

RODO nakład dodatkowe obostrzenia na administratorów danych, którzy w ramach współpracy z innymi podmiotami przekazują posiadane bazy danych osobowych. Mogą to być na przykład:
• biuro księgowego, posiadające faktury przedsiębiorcy;
• firma kurierska, która ma wgląd do danych adresatów nadawanych przesyłek;
• programista lub moderator strony internetowej firmy, który ma dostęp do kont użytkowników czy do bazy newslettera.

W takiej sytuacji przedsiębiorca musi:
• zawrzeć z takimi podmiotami umowę o przetwarzaniu danych osobowych;
• prowadzić ewidencję osób upoważnionych do przetwarzania zebranych przez niego danych klientów.

Zatrudnianie pracowników a RODO

Proces wdrażania RODO w przedsiębiorstwie jest nieco bardziej skomplikowany, jeśli przedsiębiorca zatrudnia pracowników. W poniższej tabeli przedstawiamy powinności oraz obowiązki, jakie stoją przed nim w tym temacie:

Przedsiębiorca powinien Przedsiębiorca musi
przeprowadzić “szkolenie” dla pracowników, podczas którego przekaże im wszelkie niezbędne informacje dotyczące ochrony danych osobowych poinformować pracowników o sposobie administrowania baz danych osobowych
uzyskać od pracowników dobrowolne zgody na przetwarzanie ich danych osobowych  
poinformować pracowników o sposobie przetwarzania tych danych oraz o przysługujących im prawach  

Zgoda RODO jest niezbędna podczas zawiązywania i trwania stosunku pracy, ze względu na różne dane, które muszą być przetwarzane w okresie zatrudnienia.

Pracodawca może żądać od zatrudnionego pracownika, oprócz podstawowych danych osobowych, także informacji dodatkowych, których nie można żądać od kandydata do zatrudnienia, na przykład numeru konta.

Dane te muszą być jednak zbierane w konkretnych, wyraźnych oraz prawnie uzasadnionych celach, o czym pracownik musi być poinformowany przed wyrażeniem zgody. Musi zatem znać cel i zakres przetwarzania jego danych osobowych. Dzięki temu może dobrowolnie taką zgodę wyrazić.

Dokumenty wymagane przez przepisy RODO

Przepisy RODO co prawda wskazują potrzebne ewidencje, regulaminy czy klauzule, ale nie zawierają wytycznych, według których należy je sporządzać oraz prowadzić. To zatem administrator danych musi zadecydować, jak prowadzić politykę prywatności w przedsiębiorstwie oraz w jakim stopniu zabezpieczać bazy danych swoich kontrahentów i klientów.

Mimo wspomnianej powyżej dowolności w wyborze sposobu prowadzenia polityki prywatności w firmie, przepisy RODO wprowadziły jedną, bardzo ważną zasadę, którą respektować muszą wszyscy przedsiębiorcy.

Dokumentacja, w tym regulaminy, ewidencje i zbiory informacji, musi być sporządzona w zrozumiałym i prostym języku, tak, aby każda osoba mogła się z nią zapoznać i w całości zrozumieć.

Co prawda rodzaj i sposób ochrony danych zależy przede wszystkim od specyfiki branży, charakteru firmy i jej wielkości, ale można mimo to wskazać dokumentację, którą powinien posiadać każdy przedsiębiorca:
• polityka bezpieczeństwa danych osobowych;
• polityka kluczy;
• dokument inwentaryzacji zasobów informacyjnych;
• dokument ewidencji zawartych umów powierzenia przetwarzania danych osobowych;
• dokument rejestru czynności przetwarzania;
• wykaz obszaru przetwarzania;
• wykaz przetwarzanych zbiorów danych osobowych;
• protokół szacowania ryzyka dla dokumentów tradycyjnych i elektronicznych;
• dokumentacja klauzul informacyjnych;
• dokumentacja podstawowych zasad zabezpieczania danych i zgłaszania naruszeń;
• dokument opisujący procedurę naruszenia przetwarzanych danych osobowych.

Podsumowanie

Wprowadzenie w małej firmie odpowiednich zasad dotyczących RODO nie powinno być szczególnie skomplikowane. Dlatego też warto nie zwlekać z tym na ostatnią chwilę. Pozwoli to uchronić firmę przed bardzo wysokimi karami finansowymi, sięgającymi nawet kwoty 4% obrotu rocznego firmy lub 20 milionów euro.

Źródło grafiki: https://unsplash.com/photos/uw_NWjC1mBE

Prawo

Czytaj także

Zakup samochodu na firmę - co warto wiedzieć?

Zakup samochodu na firmę - co warto wiedzieć?

Dokonując zakupu samochodu na firmę trzeba wziąć pod uwagę nie tylko konieczność poniesienia dużego wydatku ale również kwestie podatkowe. Jaki rodzaj finansowania najlepiej wybrać - leasing, wynajem czy pobrać kredyt? Jakich formalności należy dopełnić? Sprawdźmy!

6 min
Pożyczka od rodziny - czy podlega zgłoszeniu i opodatkowaniu?

Pożyczka od rodziny - czy podlega zgłoszeniu i opodatkowaniu?

Z różnych powodów decydujemy się sięgnąć po pożyczkę, czy to długo czy krótkoterminową. Jednak rosnące wymagania banków, co do zdolności kredytowej i posiadania odpowiednio długiej historii kredytowej, mogą odwracać nas od tej decyzji. W tej sytuacji, korzystnym rozwiązaniem może być pożyczka od członka rodziny, który nie pobierze od nas dodatkowych

5 min
Praca w soboty - dodatkowe wynagrodzenie czy dzień wolny od pracy?

Praca w soboty - dodatkowe wynagrodzenie czy dzień wolny od pracy?

Sobota nie dla każdego jest dniem wolnym od pracy. Czy praca w soboty jest w ogóle dozwolona? Jaka stawka wynagrodzenia obowiązuje przy nadgodzinach dla pracy w sobotę? Na te oraz inne pytania odpowiadamy poniżej.

5 min
Podatek do 26 roku życia - ile wynosi ulga i czy każdy z niej skorzysta?

Podatek do 26 roku życia - ile wynosi ulga i czy każdy z niej skorzysta?

Od kilku lat w Polsce obowiązują przepisy dotyczące ulgi podatkowej osób poniżej 26 roku życia. Młodzi dzięki temu zyskują większe miesięczne wynagrodzenie. Sprawdźmy, ile w 2023 roku wynosi ulga i czy każdy z niej skorzysta.

4 min
Wymiar czasu pracy w 2023 - Ile będziemy pracować?

Wymiar czasu pracy w 2023 - Ile będziemy pracować?

Kodeks pracy określa wszelkie przepisy związane z wykonywaniem pracy, dotyczące wymiaru czasu pracy, systemu czasu pracy, godzin nadliczbowych, nocnych oraz dni urlopowych. Obecny rok szykuje dla nas wiele dni ustawowo wolnych od pracy. Sprawdźmy jak będzie wyglądał rok 2023 pod względem norm czasu pracy. W poniższym artykule dowiesz się między

5 min
Zwolnienie lekarskie w ciąży - wszystko co musisz wiedzieć

Zwolnienie lekarskie w ciąży - wszystko co musisz wiedzieć

Ciąża to wyjątkowy okres w życiu każdej kobiety. W tym czasie przyszłe mamy muszą dbać o siebie podwójnie, dlatego też nie dziwi nikogo, że ciężarna pracownica korzysta ze zwolnienia lekarskiego. Jednak wiele kobiet boi się iść na zwolnienie lekarskie w ciąży w obawie przed utratą pracy czy zmniejszeniem wynagrodzenia. Czy

4 min
Książeczka sanepidowska - cena, badania, ważność

Książeczka sanepidowska - cena, badania, ważność

Prace, które wymagają częstszego kontaktu z dużą ilością ludzi lub dzieci do 6 roku życia, wymagają również zwiększonych wymagań pod kątem ochrony zdrowia i możliwości przenoszenia chorób zakaźnych na inne osoby. W tym celu istotne jest uzyskanie orzeczenia do celów sanitarno-epidemiologicznych. Książeczka sanitarno-epidemiologiczna jest potocznie nazywana książeczką zdrowia lub książeczką

5 min
Podwyżka inflacyjna - czym jest i komu się należy?

Podwyżka inflacyjna - czym jest i komu się należy?

Coraz wyższe koszty życia, a coraz to mniejsze wynagrodzenie - skądś to znasz? Podwyżka inflacyjna może pomóc Ci poprawić Twoją sytuację materialną. Sprawdź, czym jest podwyżka inflacyjna, komu się należy oraz w jakiej kwocie. Zapraszamy!

3 min
Minimalna stawka godzinowa 2023

Minimalna stawka godzinowa 2023

Początek nowego roku przyniósł nam korzystne zmiany w systemie wynagrodzeń na rok 2023. Oprócz wzrostu wynagrodzenia na początku roku, spodziewamy się kolejnego już w lipcu. Od stycznia 2023 roku płaca minimalna wzrosła do 3490 zł brutto (2709,48 netto, czyli na rękę), a od 1 lipca będzie wynosić 3600 zł

3 min
Premia uznaniowa a opłacanie składek ZUS

Premia uznaniowa a opłacanie składek ZUS

Termin premia uznaniowa należy z pewnością do tych słów, które chcielibyśmy słyszeć jak najczęściej. Otrzymanie dodatkowych pieniędzy ucieszy chyba każdego pracownika. Jakie są zasady jej przyznawania? Jak wygląda kwestia jej opodatkowania? Na te i inne pytania odpowiadamy poniżej. Z artykułu dowiesz się między innymi: ✔ czym jest premia uznaniowa; ✔ jak opodatkować

4 min
Jak rozliczyć dzień wolny za święto przypadające w sobotę?

Jak rozliczyć dzień wolny za święto przypadające w sobotę?

Dni ustawowo wolne od pracy to znakomita okazja do wypoczęcia bez konieczności sięgania po urlop. W kalendarzu co roku mamy 13 wydarzeń tego typu, wobec czego często zdarza się, że wypadają one w sobotę. Czy dzień wolny za święto w sobotę jest płatny? Sprawdźmy! Z artykułu dowiesz się między innymi:

3 min
Podmioty powiązane: jak i po co weryfikować powiązania między firmami?

Podmioty powiązane: jak i po co weryfikować powiązania między firmami?

Przed nawiązaniem współpracy z nową firmą, albo podczas prowadzonej kontroli zachodzi potrzeba wykonania weryfikacji kontrahenta. Sprawdzeniu powinno podlegać to: kto jest właścicielem danego przedsiębiorstwa, kto zasiada w jego zarządzie i jakie inne firmy posiada lub z jakimi podmiotami gospodarczymi jest powiązana dana firma. Z pomocą przychodzą tutaj powiązania kapitałowe i

5 min
Kiedy pracodawca może obciążyć pracownika kosztami za szkodę?

Kiedy pracodawca może obciążyć pracownika kosztami za szkodę?

Wraz z podpisaniem umowy o pracę powstaje odpowiedzialność materialna pracownika. Do jej powstania nie jest potrzebne żadne dodatkowe oświadczenie pracownika. Kiedy i w jakim wymiarze pracodawca może obciążyć pracownika za szkodę? Sprawdź w naszym artykule. Z artykułu dowiesz się między innymi: ✔ jakie rodzaje odpowiedzialności materialnej spoczywają na pracowniku, ✔ ile wynosi

4 min
Czy pieczątka firmowa jest obowiązkowa i co na niej umieścić?

Czy pieczątka firmowa jest obowiązkowa i co na niej umieścić?

Mimo że w teorii nie ma w Polsce obowiązku posiadania firmowej pieczątki, większość przedsiębiorców ma firmowy stempel. Co na to wpływa i jak powinna wyglądać wzorowa pieczątka biznesowa? Wyjaśniamy w poniższym artykule. Z artykułu dowiesz się między innymi: ✔ jakie dane powinna zawierać pieczątka firmowa, ✔ gdzie wyrobić pieczątkę firmową, ✔ jakie są

6 min